Suche Icon
Suche Icon
Support Icon User image
Sprache

Agentic-Commerce » Vertragsschluss durch KI-Agenten

Min. Lesezeit

KI-Agenten kaufen autonom ein, schließen Verträge ab und verwalten persönliche Daten. Dieser Aufstieg des Agentic Commerce wirft völlig neue Rechtsfragen auf: Wer haftet, wenn die KI das falsche Produkt kauft? Gilt das Widerrufsrecht auch bei Bot-Käufen? Wie ist der Datenschutz zu gewährleisten, wenn ein Agent Zugriff auf Kreditkartendaten und Adressen benötigt?

Dieser Ratgeber beleuchtet die zentralen Rechtsfragen rund um den Einsatz von KI-Agenten im deutschen Rechtsraum – sowohl für Verbraucher als auch für Unternehmen.

Hinweis: Der Player funktioniert nur, wenn du die Cookies akzeptierst.

Vertragsrecht: Wie kommen Verträge per KI wirksam zustande?

Das deutsche Vertragsrecht kennt keine „KI-Ausnahme“. Dennoch wirft der Einsatz von KI-Agenten beim Vertragsschluss grundlegende Fragen auf, die bisher nur teilweise durch Rechtsprechung oder Gesetzgebung geklärt sind.

Grundprinzip: KI hat keine eigenen Rechte oder Pflichten

Eine KI ist rechtlich keine eigene „Person“. Das heißt: Sie kann selbst keine Verträge abschließen und auch keine Verantwortung übernehmen.

Wenn eine KI etwas „entscheidet“ oder ausführt – zum Beispiel eine Bestellung aufgibt oder einen Auftrag annimmt – gilt das rechtlich immer so, als hätte der Mensch dahinter gehandelt.

hb-iconset-idee
Die KI ist also nur ein Werkzeug. So wie ein Computerprogramm oder früher ein Faxgerät – sie handelt nicht selbst, sondern für denjenigen, der sie nutzt.

Stellvertretung nach §§ 164 ff. BGB

Die spannende Frage ist: Kann eine KI überhaupt „für jemanden handeln“ wie ein Vertreter?

hb-iconset-achtung
Kurz gesagt: Nein – jedenfalls nicht im rechtlichen Sinne.

Warum? Für eine Stellvertretung nach §§ 164 ff. BGB braucht man eine eigene Willenserklärung des Vertreters. Eine KI hat aber keinen eigenen Willen. Deshalb kann sie kein Vertreter sein.

Wie ist der KI-Agent stattdessen einzuordnen?

In der Praxis wird die KI eher so behandelt:

1. Wie ein Werkzeug (Regelfall)

Die KI führt nur das aus, was der Nutzer vorgegeben hat.

Beispiel: „Bestelle automatisch nach, wenn der Lagerbestand unter 10 fällt.“

Rechtlich gilt: Die Erklärung kommt direkt vom Nutzer selbst – nur eben automatisiert.

2. Wie ein „verlängerter Arm“ bei komplexeren Entscheidungen

Auch wenn die KI scheinbar „selbstständig“ entscheidet, bleibt es dabei: Die Entscheidung wird dem Nutzer zugerechnet.

Warum? Weil der Nutzer die KI programmiert, trainiert oder freigeschaltet hat.

 


Vollmacht: Was sollte der Nutzer regeln?

Wer einen KI-Agenten einsetzt, sollte den Rahmen seiner „Vollmacht“ klar definieren – sowohl technisch als auch rechtlich. Wichtige Parameter:

Parameter und Bedeutung für den Vertragsschluss

Preislimit

Bis zu welchem Betrag darf die KI eigenständig bestellen?

Mengenlimit

Wie viele Einheiten maximal pro Bestellung?

Anbieterkreis

Bei welchen Händlern / Plattformen darf die KI handeln?

Produktkategorien

Welche Produkttypen sind erlaubt oder ausgeschlossen?

Zeitrahmen

Gilt die Vollmacht dauerhaft oder nur situativ?

Genehmigungspflicht

Ab welchen Schwellenwerten ist menschliche Freigabe erforderlich?


Irrtum und Anfechtung (§§ 119 ff. BGB)

Was passiert, wenn die KI einen Fehler macht? 

Zum Beispiel: Sie bestellt die falsche Menge, wählt das falsche Produkt oder akzeptiert einen ungewollten Preis.

Rechtlich kommt es darauf an, warum der Fehler passiert ist:

Technischer Fehler (Übermittlungsfehler)

Hat die KI eine Erklärung falsch übermittelt – etwa durch einen Softwarefehler oder eine fehlerhafte Datenübertragung – kann das wie ein klassischer Übermittlungsfehler behandelt werden.

Beispiel:

Die KI soll 100 Stück bestellen, übermittelt aber aufgrund eines Bugs 1.000 Stück.

  1.  In solchen Fällen ist eine Anfechtung möglich (vergleichbar mit § 120 BGB).

„Fehlentscheidung“ der KI

Schwieriger wird es, wenn die KI zwar technisch korrekt arbeitet, aber inhaltlich „falsch“ entscheidet.

Beispiel:

Die KI wählt ein deutlich teureres Produkt, weil sie es anhand ihrer Kriterien für besser hält.

  1.  Hier gilt: Diese Entscheidung wird dem Nutzer zugerechnet.

Eine Anfechtung ist dann nur eingeschränkt möglich, weil rechtlich davon ausgegangen wird, dass die KI im Rahmen der Vorgaben gehandelt hat.

Handeln außerhalb der Vorgaben

Überschreitet die KI klar die gesetzten Grenzen, kann das rechtlich anders bewertet werden.

Beispiel:

Die KI bestellt trotz festgelegtem Limit Waren im Wert von 100.000 €.

 Dann kommt in Betracht:

  1. Anfechtung wegen Irrtums
  2. oder Argumentation, dass die Erklärung so nicht gewollt war

Allerdings ist das immer eine Frage des Einzelfalls.

 

Praxishinweis: Kein Freibrief für KI-Fehler

Nicht jeder Fehler der KI lässt sich einfach korrigieren: Nur wenn ein technischer Übermittlungsfehler vorliegt, ist eine Anfechtung meist möglich – trifft die KI dagegen eine inhaltlich „falsche“, aber von ihren Vorgaben gedeckte Entscheidung, bleibt der Nutzer in der Regel daran gebunden.

testimonials-so-lieber-nicht-neutral

Haftung: Wer zahlt bei Fehlern des Agenten?

Auch bei KI gilt kein Sonderrecht: Die Haftung richtet sich grundsätzlich nach den allgemeinen Regeln des Zivilrechts.

Heißt: Es gibt keine automatische Haftung nur wegen „KI“ – aber auch keinen einfachen Haftungsausschluss, nur weil eine KI beteiligt war.

Wer kann überhaupt betroffen sein?

Beim Einsatz von KI sind meist mehrere Beteiligte im Spiel. Wer am Ende haftet, hängt stark vom Einzelfall ab – typischerweise geht es um diese Konstellation:

Partei und wer haftet gegenüber … für …

KI-Anbieter (z. B. Plattformbetreiber)

Händler: fehlerfreie Bereitstellung der KI-Infrastruktur, korrekte APIs, Datensicherheit

Händler

gegenüber Kunden für alles, was den Vertrag betrifft (Preis, Produkt, Lieferung)

Kunde / Nutzer

für Erklärungen, die über seine KI abgegeben werden (z. B. Bestellung)

 

Beispiel: Die KI kauft das falsche (teure) Produkt

Ein KI-Agent soll im Auftrag eines Verbrauchers einen Bluetooth-Lautsprecher kaufen und ersteht stattdessen ein High-End-Soundsystem für 1.200 Euro. Wer haftet?

Fallanalyse: Falscher Kauf durch KI

1. Handelte die KI innerhalb ihrer Vollmacht (z. B. war kein Preislimit gesetzt)?

  1. Der Vertrag ist grundsätzlich wirksam. Der Nutzer bleibt gebunden. Mögliche Ausnahme: Anfechtung wegen Irrtums (§ 119 BGB), sofern die Voraussetzungen vorliegen.

2. Handelte die KI außerhalb eines definierten Preislimits?

  1. Dann kann man argumentieren, dass die Erklärung so nicht gedeckt war. Im Einzelfall kann eine Anfechtung in Frage kommen.

3. Fehlerhafte Produktdaten des Händlers haben die KI in die Irre geführt?

Hat der Händler z. B. falsche Produktdaten oder irreführende Angaben gemacht:

  1. Dann kann eine Haftung des Händlers in Betracht kommen (z. B. wegen Pflichtverletzung oder Mängeln)

 

Produkthaftung und KI-Haftungsgesetz (EU)

Auch hier gilt: Vieles ist noch im Fluss.

  1. Das Produkthaftungsgesetz kann greifen, wenn ein fehlerhaftes Produkt Schäden verursacht – ob Software darunter fällt, ist im Detail noch nicht abschließend geklärt.
  2. Über das allgemeine Deliktsrecht (§ 823 BGB) haftet, wer eine KI unsorgfältig einsetzt und dadurch Schäden verursacht.
  3. Innerhalb von Verträgen gelten die üblichen Gewährleistungs- und Schadensersatzregeln.

Auf EU-Ebene wird mit dem EU AI Act und weiteren Haftungsregeln nachgeschärft – vieles ist aber noch nicht final umgesetzt.

 

Widerrufsrecht: Gilt es auch bei Bot-Käufen?

Das Widerrufsrecht nach §§ 355 ff. BGB i. V. m. der Verbraucherrechterichtlinie schützt Verbraucher bei Fernabsatzverträgen. Die entscheidende Frage: Ändert sich daran etwas, wenn ein KI-Agent den Kauf getätigt hat?

Wer ist Verbraucher?

Das Widerrufsrecht steht dem Verbraucher zu (§ 13 BGB: natürliche Person, die zu privaten Zwecken handelt). Setzt ein Verbraucher einen KI-Agenten ein, handelt die KI für ihn – der Verbraucher bleibt Verbraucher. Das Widerrufsrecht bleibt grundsätzlich erhalten.

Grundsatz: Widerrufsrecht gilt auch bei KI-vermittelten Käufen

Ein Verbraucher, der einen KI-Agenten als Einkaufshelfer nutzt, verliert dadurch nicht seinen Verbraucherschutz. Die KI ist lediglich das technische Mittel zum Vertragsschluss – der Verbraucher bleibt Vertragspartei.

Sonderfall: Vollautomatisierter B2B-Agent

Setzt ein Unternehmen einen KI-Agenten ein, der im Rahmen seiner gewerblichen Tätigkeit Verträge schließt, gilt kein Widerrufsrecht. Hier handelt der Unternehmer (§ 14 BGB), nicht der Verbraucher.

 

Datenschutz: Kreditkartendaten, Adressen, Vorlieben

KI-Agenten benötigen für ihre Arbeit Zugriff auf hochsensible persönliche Daten: Zahlungsinformationen, Lieferadressen, Kaufhistorie, Präferenzen und mehr. Dies eröffnet erhebliche datenschutzrechtliche Risiken.

Rechtsgrundlagen nach DSGVO

Die Verarbeitung personenbezogener Daten durch oder zur Unterstützung eines KI-Agenten ist nur zulässig, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt:

Rechtsgrundlage und Anwendungsfall im KI-Kontext

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Nutzer stimmt aktiv zu, dass KI-Agent auf Daten zugreift und Bestellungen ausführt. Muss freiwillig, informiert und widerrufbar sein.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Verarbeitung notwendig, um den Auftrag des Nutzers auszuführen (z. B. Adresse für Lieferung).

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Grundsätzlich möglich, aber Interessen müssen überwiegen; bei Zahlungsdaten sehr restriktiv.

Datensparsamkeit und Zweckbindung

Der KI-Agent darf nur auf die Daten zugreifen, die er für die konkrete Aufgabe tatsächlich benötigt (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Problembereiche in der Praxis:

  1. Dauerhafte Speicherung von Kreditkartendaten: Nur zulässig mit expliziter Einwilligung und unter strengen Sicherheitsstandards (PCI-DSS).
  2. Profilbildung: Wertet der Agent Kaufverhalten und Präferenzen aus, kann dies ein Profiling i. S. d. Art. 4 Nr. 4 DSGVO darstellen, das besonderen Anforderungen unterliegt.
  3. Weitergabe an Dritte: Übermittelt der Agent Daten an Händler oder Plattformen, müssen diese als Auftragsverarbeiter (§ 28 DSGVO) oder gemeinsam Verantwortliche eingebunden sein.

Technische und organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zu treffen. Für KI-Agenten bedeutet dies insbesondere:

  1. Verschlüsselung von Zahlungsdaten (in Transit und at Rest).
  2. Zugriffskontrolle: Der Agent erhält nur Lese-/Schreibrechte für die konkret benötigten Systeme.
  3. Audit-Logs: Alle Transaktionen und Datenzugriffe des Agenten werden protokolliert und sind nachvollziehbar.
  4. Anomalie-Erkennung: Systeme zur Erkennung von unautorisiertem Zugriff oder Prompt Injections.

Prompt Injection: Neues Datenschutzrisiko

Prompt Injection ist ein gezielter Angriff, bei dem Dritte über manipulierte Inhalte (z. B. in Produktbeschreibungen oder E-Mails) versuchen, den KI-Agenten zu kompromittieren und ihn zu unerwünschten Handlungen zu verleiten – etwa zur Übermittlung sensibler Daten.

hb-iconset-achtung
Prompt Injection als Haftungsrisiko

Wird ein KI-Agent durch eine Prompt Injection manipuliert und übermittelt dabei Kreditkartendaten an Dritte, kann der Betreiber des Agenten nach DSGVO (Art. 82) und zivilrechtlich für den daraus entstandenen Schaden haften – sofern keine ausreichenden technischen Schutzmaßnahmen ergriffen wurden.

Betroffenenrechte im KI-Zeitalter

Auch beim Einsatz von KI-Agenten bleiben die Betroffenenrechte nach DSGVO vollständig erhalten:

Recht und Praktische Bedeutung für KI-Agenten

Auskunftsrecht (Art. 15)

Nutzer hat Anspruch zu erfahren, welche Daten der Agent verarbeitet und an wen er sie übermittelt hat.

Löschungsrecht (Art. 17)

Auf Verlangen müssen Daten (inkl. Verlauf, Profile) gelöscht werden, sofern keine Aufbewahrungspflichten bestehen.

Widerspruchsrecht (Art. 21)

Gegen automatisierte Entscheidungen mit erheblichen Auswirkungen (Profiling) kann der Nutzer Widerspruch einlegen.

Recht auf menschliche Entscheidung (Art. 22)

Bei rein automatisierten Entscheidungen mit erheblicher Auswirkung (z. B. Kreditentscheidung) besteht Anspruch auf menschliche Überprüfung.

 

 

Händlerperspektive: Wenn plötzlich „die KI war’s“ im Raum steht

Für Händler bringt der Einsatz von KI auf Kundenseite eine ganz eigene Herausforderung mit sich:  Verträge kommen ganz normal zustande – aber im Nachgang wird es oft komplizierter.

Typisches Szenario:

Ein Kunde bestellt über einen KI-Agenten und will sich später vom Vertrag lösen mit dem Argument: „Das habe ich so gar nicht gewollt.“

  1. Für Händler bedeutet das: Sie müssen sich zunehmend mit der Frage auseinandersetzen, ob und wann solche Erklärungen tatsächlich angefochten werden können.

Das Problem dabei:

Von außen ist meist nicht erkennbar,

  1. wie die KI konfiguriert war
  2. ob es klare Vorgaben gab
  3. oder ob tatsächlich ein technischer Fehler vorlag

 Die Beweisführung liegt häufig beim Kunden – aber der Prüfaufwand landet zunächst beim Händler.

Mehr Prüfaufwand im Alltag

Händler können sich nicht pauschal darauf verlassen, dass ein Vertrag „einfach hält“. Stattdessen müssen sie im Zweifel prüfen:

  1. Liegt wirklich ein anfechtbarer Irrtum vor?
  2. Oder hat die KI im Rahmen der Vorgaben gehandelt?
  3. Gibt es Anhaltspunkte für einen technischen Fehler?

Das kostet Zeit, Ressourcen – und im Zweifel auch Geld.

Was Händler jetzt im Blick behalten sollten

Ganz verhindern lässt sich das Problem nicht. Aber Händler können sich vorbereiten:

  1. Klare und transparente Produktangaben
     → reduzieren das Risiko von Fehlentscheidungen auf Kundenseite
  2. Saubere Bestellprozesse
     → helfen, Missverständnisse zu vermeiden
  3. Dokumentation von Bestellungen
     → kann im Streitfall entscheidend sein
hb-iconset-idee

Merksatz für Händler

„Die KI war’s“ ist kein automatischer Rücktrittsgrund – kann aber schnell zu zusätzlichem Aufwand führen. Entscheidend ist am Ende, ob tatsächlich ein rechtlich relevanter Fehler vorliegt.

 

 

Fazit

Ein rechtssicherer KI-Einsatz erfordert von Beginn an saubere Strukturen: Klare Vorgaben, technische Zuverlässigkeit und präzise Verträge sind kein „Nice-to-have“, sondern die notwendige Basis.

Für Händler entstehen neue Risiken, wenn Kunden Verträge mit Verweis auf KI-Fehler anfechten wollen. Da nicht jeder Systemfehler automatisch zur Stornierung berechtigt, wächst der Prüfaufwand im Einzelfall erheblich. Besonders die mangelnde Nachvollziehbarkeit von KI-Entscheidungen sorgt hier für Unsicherheit.

Kurzum: KI macht den Vertragsschluss nicht rechtsfrei, aber durch die komplexen Haftungs- und Beweisfragen deutlich anspruchsvoller in der Handhabung.

agentic-commerce-ki-haende-marketplace-drohnen-vertrag

 

Rechtsanwältin Sandra May

Geschrieben von
Rechtsanwältin Sandra May

×

 

War dieser Ratgeber hilfreich?

Das könnte dich auch interessieren

  1. ChatGPT vs. Anwalt » Was taugen die Antworten?
  2. ChatGPT Urheberrecht » Kann eine KI Urheber sein? 
  3. KI im E-Commerce » Mehr Erfolg mit künstlicher Intelligenz 
  4. Kurz erklärt » Bilderklau im Internet
  5. Künstliche Intelligenz im E-Commerce » So setzt du sie ein
  6. KI-Recht » AI Act, Gesetze, Ethik, DSGVO, Trends
Kommentare
Lass uns gern einen Kommentar da
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken